внезапная проверка Шойгу военкомата

rbc.ru — Министр обороны России Сергей Шойгу пришел в один из московских военкоматов с внезапной проверкой. «Коллеги, я сюда приезжаю третий раз, у вас микроволновка есть, холодильник есть, а компьютеров, чтобы по электронке связаться с другим военкоматом, нет. Ячейка, почта... вы что как партизаны-то письма закладываете? Что это за работа такая», — посетовал он. Третья внезапная проверка! Годы идут а армия (в мирное время) остается одним из самых смешных мест на земле.
Новости, Общество | Vladimer 08:14 08.06.2021
12 комментариев | 69 за, 1 против |
#1 | 08:22 08.06.2021 | Кому: Всем
Безопасный почтовик сначала сделайте, блять, для госпочты.
Или через яндекс, мейл.ру и гугель перс.данные пересылать? А в дропбоксе хранить личные дела всех призывников. И главное пароли, пароли от всего этого на бумажках к монитору прилепленных держать!
#2 | 08:35 08.06.2021 | Кому: axyonoff
> Угу, спецсвязь есть, неделю письмо из области в Москву везли.

Я про электронный почтовик. Типа вход по ЭЦП, подключение через VPN c ГОСТовым шифрованием, только с определенных IP, судебное удержание писем (когда их невозможно из ящика удалить никогда вообще), прикрученные системы идентификации нежелательной активности, штат технических специалистов, штат безопасников, которые будут смотреть логи систем безопасности и реагировать на события безопасности. СРК гарантирующее надёжное хранение и возможность восстановления данных. И вот это вот всё.
#3 | 08:54 08.06.2021 | Кому: ВИННИ
> Сотрудники работали на принесенном из дома старье, поскольку служебный антиквариат конца 90-х иногда даже Ворд не тянул

Пф. ГИБДД всеволожского р-на ЛО. Все компы собраны в корпусах от компов 2004-го года с инвентарниками и серийниками. На балансе же! Начинка давно уже обновлена за собственные деньги сотрудниками ГИБДД. Ремонты - за свои деньги. Мониторы, клавы, мыши, флешки, картриджи - всё за свой счет.
#4 | 09:54 08.06.2021 | Кому: Себ.Перейро
О! Тайные тайны, покрытые мрачным мраком!
Секретная жужжалка.
Тогда понятно, почему инфа из военкомата в военкомат по сто лет идёт. :)
#5 | 10:17 08.06.2021 | Кому: amb
> > Я про электронный почтовик. Типа вход по ЭЦП, подключение через VPN c ГОСТовым шифрованием, только с определенных IP,
>
> Что-то подобное обеспечивает "деловая почта" в комплексе Випнет.

ООО КОМРУНЕТ
Владелец: Петрушенко Ф.А.
Выручка за 2020: 120 миллионов
Прибыль за 2020: 0 миллионов

Очень! Очень надёжная контора! Можно доверить перс.данные и гос.тайны.

>

> > судебное удержание писем (когда их невозможно из ящика удалить никогда вообще),
>
> Если что - "format c:" поможет.

Локально. А на почтовом сервере? А на всех хранилках по правилу 3-2-1?

>

> > прикрученные системы идентификации нежелательной активности, штат технических специалистов, штат безопасников, которые будут смотреть логи систем безопасности и реагировать на события безопасности. СРК гарантирующее надёжное хранение и возможность восстановления данных. И вот это вот всё.
>
> Навангуешь ещё одно министерство. А зачем?
> Можно ведь просто пересылать шифрованные письма (хоть по ГОСТу). Всё равно на местах (в военкоматах) не обеспечен нужный уровень защиты.

Зачем министерство? Департамент внутри МО.
Кожугетовичу то невдомёк, а ему никто не рассказал, что просто поставить комп и обеспечить безопасную пересылку невозможно.
Если со стороны ИБ рассматривать вопрос то:
- рабочее место отдельное, доступ к рабочему месту ограничен.
- соблюдены минимальные требования: вход на ПК по паролю, установлен и обновляется антивирус, у пользователя нет прав.
- подключение по VPN с использование двухфакторной авторизации.
- никаких почтовых программ, установленных локально. Веб интерфейс.

Один из неплохих вариантов, которые я делал уже для пары контор: тонкий клиент, грузящийся по сети. VPN обеспечивает железка (под замком в опечатанном помещении). Бездисковая машинка. Машинка включается, грузит с железки стартовый образ, далее двухфакторная аутентификация и запускается VPN до ЦОД. Оттуда уже летит рабочий образ ОС, запускается без прав - чисто браузер до целевого ресурса. Хранение данных - в ЦОД. Обмен данными - в ЦОД. Загрузка сканов документов - с флешки и только в одну сторону, скачать ничего нельзя. Распечатать можно, но копия - кто что куда печатал - сохраняется в ЦОД.
#6 | 10:21 08.06.2021 | Кому: Alex Wolf
> Бедняжки, они просто вынуждены продавать ВУ и брать взятки на дорогах - это же для Дела!!!

Я это не к тому, а чтобы прониклись уровнем материально-технического обеспечения органов исполнительной власти при всем пиздеже руководства про цифровизацию и оптимизацию.
Кстати распространенное заблуждение, что продают ВУ те же, кто и на дорогах стоят. Нет. МРЭО и ДПС - это разные ведомства, подчас не сильно дружащие между собой.
#7 | 10:28 08.06.2021 | Кому: Alex Wolf
> Сдать бесплатно - чудо. Ну и берут)

А разве сейчас все не централизованно на ш.Революции 85 сдают, что питерские, что областные?
Я не в курсе просто.
#8 | 12:31 08.06.2021 | Кому: amb
> > Очень! Очень надёжная контора! Можно доверить перс.данные и гос.тайны.
>
> Вопросы доверия - это в ФСБ и ФСТЭК. Наше дело маленькое - наличие сертификатов обеспечить.
>
> > > Если что - "format c:" поможет.
> > Локально. А на почтовом сервере? А на всех хранилках по правилу 3-2-1?
>
> А что это даёт для суда?

"Судебное удержание" - это просто процедура так называется, когда информация никогда не удаляется, даже если пользователь почистил корзину на сервере она всё равно откладывается. К судам отношения не имеет, приехало к нам из переводов майкрософтовских мануалов по MS Exchange.

>

> > Зачем министерство? Департамент внутри МО.
>
> Дык такую штуку немедленно захотят себе все госконторы и иже с ними. У нас вотт уже муниципалитет обязывают обеспечить электронную пересылку документов с ЭП (для начала). А ПФР (и не только) требует уже випнет, не иначе. Так что департаментом не обойдётся.

Ну так то оно есть, это министерство:
"Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации создано 15 мая 2018 года указом Президента Российской Федерации №215 на базе Министерства связи и массовых коммуникаций Российской Федерации. Официальное сокращенное название — Минцифры России."

Но занимаются там каким-то говном, не видел ни одного их реального полезного дела.

>

> > Один из неплохих вариантов, которые я делал уже для пары контор: тонкий клиент, грузящийся по сети. VPN обеспечивает железка (под замком в опечатанном помещении). Бездисковая машинка. Машинка включается, грузит с железки стартовый образ, далее двухфакторная аутентификация и запускается VPN до ЦОД. Оттуда уже летит рабочий образ ОС, запускается без прав - чисто браузер до целевого ресурса. Хранение данных - в ЦОД. Обмен данными - в ЦОД. Загрузка сканов документов - с флешки и только в одну сторону, скачать ничего нельзя. Распечатать можно, но копия - кто что куда печатал - сохраняется в ЦОД.
>
> Шикарно, но подходит только для транспорта ДСП, с ограниченным числом клиентов. Для работы - не годится, для простых госслужащих без гостайны - тоже не очень.

Для простых тоже годится, главное, чтоб мощностей хватило в ЦОД. Я же не полностью про рабочее окружение вместе со всем софтом, а про сервис обмена конкретными данными.
#9 | 20:20 08.06.2021 | Кому: amb
> А нахера оно тогда нужно?

Для расследований инцидентов, связанных с ИБ. Кто кому что отправлял.

> Значит, будет ещё одно министерство, этих же не разгонят.


Не будет. И почтовика не будет. Нихуя не будет, поставят какие-нибудь ПК для пасьянса косынки и будут Кожугетовичу эмулировать бурную деятельность.

> Это понятно, но не реализуемо, по причине бедности - нет возможностей держать отдельные железки для почты в нужном количестве. А так-то > есть уже немного: например, ССТУ с закрытым обменом (на випнете, да) - раз в год включаем, нормально работать тоже нельзя.

> Вот бы по вашей технологии полноценное офисное рабочее место разворачивалось - цены бы не было.

Это не моя технология. Это набор общедоступных технологий. Можно реализовать на дешевом оборудовании, фактически, можно и на коленке реализовать, с использованием древних компов и умелых линуксовых ручек. Есть даже почти готовые решения, которые можно пильнуть напильником. Я даже продумывал максимально дешёвый вариант реализации: ОС для тонких клиентов - WTWare с локальным Chromium вместо RDP (стоимость около 1000р за лицензию на рабочее место), сетевое оборудование - Mikrotik, технология второго фактора для микрота реализуема, статьи есть. В ЦОД - Zimbra OCS. Единственное, что не удастся прикрутить сюда - ЭЦП. А так вполне работает.
#10 | 18:50 09.06.2021 | Кому: votvot123
> > > А нахера оно тогда нужно?
> > Для расследований инцидентов, связанных с ИБ. Кто кому что отправлял.
>
> Просто к сведению, как оно есть в реальности:[censored]

Просто к сведению: ты не понял ни слова из того, что я написал. При чем тут DLP, который необходим, но для других совершенно целей?
Если менеджер Петя полгода писал другу Васе из конкурирующей конторы о сроках поставки, стоимости и составу поставляемого оборудования, то контент-фильтр DLP-системы воспринимает эту переписку, как переписку с контрагентом и не зажигает алярм. А потом, когда всё слито, Петя удаляет свою почту, чистит корзину, и увольняется. Если бы письма не хранились на почтовике вечно (а я писал конкретно про почтовик, а не про ИБ в целом, но ты этого не понял), то мы бы никогда не доказали, что Петя - пидарас. А так письма были переданы органам. К слову, в конторе стоял DLP от Symantec.
Кстати, почему ты не дал ссылку на сёрчинформ, или там секуртауэр, а именно на инфовотч, который самый распиаренный, но не самый хороший? Слава ТНБ, StaffCop еще не вспомил..


> > Не будет. И почтовика не будет.

>
>[censored]
>

Бля, я про почтовые серверы, а не про клиенты. Я про вообще отсутствие на локальном рабочем месте какой-либо инфы, которую можно спиздить. Разницу чуешь?


>

> > Это не моя технология. Это набор общедоступных технологий. Можно реализовать на дешевом оборудовании, фактически, можно и на коленке реализовать, с использованием древних компов и умелых линуксовых ручек.
>
> А можно найти приключений на свою задницу: КоАП РФ Статья 13.12. Нарушение правил защиты информации.
> В российских реалиях ИБ - это бумажки. Сертификаты, приказы, регламенты. Журналы, не к ночи будет сказано. Есть у тебя сертификат ФСТЭК на используемый VPN? А у вип-нета - есть.

А кому требуется сертифицированный, тот пусть сертифицированный и пользует. S-terra там покупает, или на винде с криптопро ipsec извращается. Но не всем это надо.
#11 | 10:07 10.06.2021 | Кому: votvot123
> Чтобы хранить нарастающий поток информации вечно - нужна бесконечная ёмкость хранилищ.

А у нас бесконечные размеры гос.архивов? Ты об них спотыкаешься и нет места на земле, где бы не лежали папки?
Одна кассета LTO8 заменяет пару комнат бумажного архива. 1 петабайт электронной почты за год - это активная переписка пары тысяч менеджеров с пересылками сканов и картинок (по моему опыту построения СРК). 1 петабайт на ленточках LTO8 занимает ящик стола. А LTO9 - две трети ящика. А на подходе новые стандарты и новые технологии хранения.
Всё рассчитывается, на всё уже придуманы технологии.
Я для тебя провел подсчет в калькуляторе: если ты ЕЖЕСЕКУНДНО в течение 1 года в рабочее время с 8 до 16 будешь пулять письмо в 1 мегабайт - то вся твоя почта за год займёт чуть более 7 терабайт. Всё это я забэкаплю. К счастью люди пишут гораздо реже, гораздо. И средний годовой архив от 20 до 30Гб у самых активных манагеров.

> Вместо требования от почтовика несвойственного функционала (с неудаляемым хранением) можно воспользоваться специализированным софтом, те же теневые копии заданного тобой информационного обмена будут храниться и ждать своего часа (даже без алярма). Опять-таки - насколько места хватит.


Бля, какой несвойственный функционал - в MS Exchange это штатная фича, во всех других системах энтерпрайз уровня есть аналоги.

> Если информация выводится на экран (а нахер нужна почта, которую нельзя прочитать?) - её можно похитить. Ты упёрся в сервер. Есть готовое решение. Диопост, хоть и хранит базу локально, но в зашифрованном виде, софт сертифицирован по КС1, КС2, КС3. Зачем изобретать велосипед?


А бэкапит её диопост тоже локально, по шедулеру, с проверкой, дедупом и компрессией? А проверяет консистентность бэкапов - местный приходящий админ за 2000 рублей? А реализует механизм 3-2-1 тоже диопост на локальном компе и флешке? Планы восстановления регулярно тестирует тоже диопост?

> Если ты госконтора - от этого не уйдёшь. Если у тебя секретка - от этого не уйдёшь. Если ты хочешь, чтобы твоими проблемами с конфи занимались всерьёз - от этого не уйдёшь. А вот если у тебя своё личное понимание ИБ и твоё руководство это устраивает - делай что хочешь.


Я, как архитектор ИТ-систем, прекрасно знаю - где и какие технологии уместно применять. Где надо ставим Cisco ASA, S-Terra, где-то NGate, а где-то достаточно (или заказчику по карману) только Mikrotik без гостов. У меня нет стандартных решений для всех, я индивидуально проектирую для каждого заказчика.
#12 | 09:25 11.06.2021 | Кому: votvot123
> > >Диопост, хоть и хранит базу локально, но в зашифрованном виде, софт сертифицирован по КС1, КС2, КС3. Зачем изобретать велосипед?
> > А бэкапит её диопост тоже локально, по шедулеру, с проверкой, дедупом и компрессией? А проверяет консистентность бэкапов - местный приходящий админ за 2000 рублей? А реализует механизм 3-2-1 тоже диопост на локальном компе и флешке? Планы восстановления регулярно тестирует тоже диопост?
>
> "А теперь со всей этой хуйнёй мы попробуем взлететь!" Сам как думаешь, пройдёт твой комбайн сертификацию?

Конечно пройдёт. Например в Росатоме, Газпромнефти и Северстали (это то, что я видел лично и принимал участие в монтаже) - это давно-давно-давно работает и всё соответствует, и имеет сертификаты, и регулярно проверяется и там гос.тайна.

> > Я, как архитектор ИТ-систем, прекрасно знаю - где и какие технологии уместно применять.

>
> Возможно, ты неплохой архитектор. Наверное, знающий свою предметную область. При этом, довольно уверенно могу предположить, что профильного российского образования по направлению ИБ у тебя нет. В итоге мы говорим о разном: ты предлагаешь решения оторванные от реальности, не понимая, что госконтора (которой является военкомат) никогда не сможет их реализовать.

Да, слава ТНБ, я не безопасник. Но мне, почему-то, постоянно приходится безопасникам рассказывать, как реализовать их ПОИБы в железе и софте. На бумаге у них всегда всё красиво и секьюрно.
Военкомат сможет реализовать. Сможет, если будет достаточно тех.специалистов необходимого уровня.
Уровень ТЗ: "А поставьте тут компьютер" может запустить махину и через пяток лет таки привести состояние МТО к современным реалиям.
Нужны денежки, воля и специалисты.
Но выйдет, как обычно, так, как пишут тут: кто-то приволочёт из дома комп.
Войдите или зарегистрируйтесь чтобы писать комментарии.